2月21日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。
GNU glibcの脆弱性への対応
2016年2月16日、GNU glibcの名前解決getaddrinfo関数に、任意のコード実行やサービス拒否攻撃を許してしまう脆弱性(CVE-2015-7547)が報告されました。影響を受けるバージョンは、glibc 2.9~2.22です。ここでは、発信されたセキュリティ情報を日ごとに追いかけてみましょう。
2016年2月16日
- Redhat:CVE-2015-7547
- F5 Networks:SOL47098834: glibc vulnerability CVE-2015-7547
- Debian:CVE-2015-7547
- Ubuntu:USN-2900-1: GNU C Library vulnerability
- Amazon:Amazon Linux AMI Security Advisory: ALAS-2016-653
- FEDORA:FEDORA-2016-0f9e9a34ce
- FEDORA:FEDORA-2016-0480defc94
2016年2月17日
- CentOS:[CentOS-announce] CESA-2016:0175 Critical CentOS 6 glibc Security Update
- CentOS:[CentOS-announce] CESA-2016:0176 Critical CentOS 7 glibc Security Update
2016年2月18日
- シスコ:Vulnerability in GNU glibc Affecting Cisco Products: February 2016
- ミラクルリナックス:glibc の脆弱性(CVE-2015-7547)の影響と対処
2016年2月19日
- BLUE COAT:SA114: GNU C Library(glibc)Remote Code Execution February 2016
- トレンドマイクロ:アラート/アドバイザリー : glibcの脆弱性「CVE-2015-7547」に対する弊社製品での対応について
2016年2月22日
Thunderbird 38.6.0リリース(2016/02/16)
Thunderbird 38.6.0では、任意のコード実行を許してしまう脆弱性(CVE-2016-1523)、サービス拒否攻撃を許してしまう脆弱性、TLS 1.2でMD5署名されたメッセージを受け入れてしまう脆弱性(CVE-2015-7575)など、4件のセキュリティアドバイザリーに含まれる計5件の脆弱性を解決しています。
米シスコ製品
■ASA SoftwareのIKEv1、IKEv2(2016/02/10)
セキュリティアプライアンス製品であるASA(Adaptive Security Appliances)のIKEv1、IKEv2には、任意のコード実行とサービス拒否攻撃を許してしまうバッファオーバーフローの脆弱性(CVE-2016-1287)が存在します。不正なUDPパケットを受信した場合に、この脆弱性の影響を受ける可能性があります。
Tomcat 8.0.32、7.0.68、6.0.45リリース(2016/02/08)
Tomcat 8.0.32、7.0.68、6.0.45は、バグの修正や改善を目的としたリリースです。リリース時点で、セキュリティアップデートの報告はありません。
2月8日にリリースされたTomcat 8.0.32では、Webアプリケーションの最上位のパスを指定するパラメーター「mapperContextRootRedirectEnabled」のデフォルト値を、URLの末尾にスラッシュ(/)を追加したものとするよう、仕様を変更しました。また、Windows版バイナリーをOpenSSL 1.0.2eに対応させたTomcat Native 1.2.4へのアップデートなどの強化を施しています。
2月11日にリリースされたTomcat 6.0.45では、Tomcat Nativeをバージョン1.2.4にアップデートしています。2月16日にリリースされたTomcat 7.0.68では、設定変更に追従するため、ロード/アンロード時にフィルターを適用するなどの強化を施しています。